Points de vue

Ce que tout le monde devrait savoir sur les fondements techniques de la confidentialité en ligne

Byron Acohido, 5 décembre 2019

De plus en plus d’efforts visent à préserver l'infrastructure à clés publiques et les certificats numériques qui sont au cœur de la cybersécurité

Pendant des décennies, l’infrastructure à clés publiques (ICP) a été le socle de la sécurité informatique. Il s’agit d’un système permettant de chiffrer et de signer des données, en émettant des certificats numériques authentifiant l'identité des utilisateurs.

Si cela vous semble trop complexe, regardez l'adresse du site Web du blog Avast : https://blog.avast.com/. Vous voyez le « HTTPS » ? Le « S » de HTTPS signifie « sécurisé ». Votre navigateur Web a vérifié le certificat de sécurité du site https://blog.avast.com/ et a vérifié qu'il avait bien été émis par une autorité de certification légitime. C'est un processus ICP.

Alors que la confidentialité devient une priorité et un défi pour les experts en cybersécurité, il est important de comprendre cette norme fondamentale qu’implique l’ICP.

Parce qu'elle fonctionne au niveau de l'infrastructure, l'ICP n'est pas aussi connue qu'elle devrait l'être par les dirigeants d’entreprise, et encore moins par le grand public. Vous pouvez cependant être sûr que les cybercriminels saisissent les nuances de l’ICP, puisqu’ils les exploitent constamment pour envahir notre vie privée et voler nos données.

Voici ce qu’il faut retenir : l’ICP est notre meilleure alliée. Avec l’accélération de la transformation numérique, les chefs d'entreprise et les particuliers devront se familiariser avec l'ICP et participer de manière proactive à sa préservation. La bonne nouvelle, c'est que dans le monde entier, les experts en cybersécurité ont compris combien il faut non seulement préserver l’ICP, mais aussi la renforcer. Pour l’instant, c'est Google qui ouvre la voie.

Voici ce que toutes les entreprises et utilisateurs avertis devraient savoir sur les efforts qui se font pour consolider l'ICP à long terme.

Notions sur l’ICP

L'ICP s'articule autour de la création, de la distribution et de la gestion des certificats numériques. Pour les sites Web, il s’agit de distribuer des certificats numériques (documents électroniques) émis par des entreprises appelées autorités de certification (ou AC). Leur rôle consiste à vérifier minutieusement l'authenticité des sites Web, puis d'aider les propriétaires de sites Web à chiffrer les informations saisies par les internautes dans leurs formulaires de page Web.

Il existe deux clés de chiffrement : la clé publique et la clé privée. Tout utilisateur se connectant à un site Web certifié peut obtenir sa clé publique. La clé privée est une clé unique générée lors d'une connexion et elle est gardée secrète. L'utilisateur utilise la clé publique pour chiffrer et déchiffrer les échanges d'informations avec le site Web, tandis que le serveur Web utilise la clé privée. Cela protège les données contre le vol ou la falsification.

L'ICP remplit donc deux fonctions cruciales : elle permet d'authentifier les identités pendant le processus de transfert de données, et de garder les données chiffrées lors de leur déplacement entre les points de terminaison.

Au début, l'ICP servait principalement à valider l'authenticité des sites Web et à protéger les données, en particulier lors de transactions financières en ligne. Il y a un fort consensus sur le fait qu’à l’avenir, l’ICP devra être appliquée à chaque type d'identité numérique, aussi bien pour un humain se connectant à un site Web, que pour une machine ou application se connectant à une autre machine ou application. C'est ambitieux, mais l’ICP est également considérée comme un moyen de réduire les activités malveillantes.

« Les certificats et les clés garantissent la validité de toute identité numérique. Ils peuvent être comparés à une serrure de porte d'entrée, et à un moyen de savoir qui est à la porte et quel est l’objet de sa visite », observe Chris Hickman, responsable de la sécurité chez Keyfactor, fournisseur de systèmes de sécurité d'identité numérique. « Dans ce domaine, l'ICP est l'un des rares mécanismes de sécurité vraiment éprouvés sur le terrain et dans le temps. »

Vulnérabilités des certificats

Plus que tout autre système de sécurité, l'ICP nécessite une attention et une alimentation proactives. Pour toute organisation, elle implique un certain investissement. Le nombre de certificats utilisés se multiplie au fur et à mesure que les entreprises augmentent leur recours aux services sur le cloud et à des fournisseurs tiers. De plus, les certificats expirent (certains, tous les ans).

Pourtant, le renouvellement manuel reste une pratique répandue et incohérente. Par exemple, une enquête parrainée par Keyfactor auprès de 596 informaticiens interrogés par le Ponemon Institute, a révélé que 74 % des répondants avaient signalé des problèmes de certificats numériques entraînant des temps d'arrêt et des pannes imprévus. Environ 73 % des personnes interrogées ont déclaré qu'elles étaient conscientes que le fait de ne pas sécuriser les clés et les certificats érodait la confiance en leur organisation.

Évidemment, les acteurs menaçants en ont profité. Au cours des dernières années, les attaques se sont multipliées de façon continue, impliquant des certificats numériques usurpés ou volés, explique Anand Kashyap, co-fondateur et directeur de la technologie chez Fortanix, un fournisseur de systèmes de chiffrement avancés de la Silicon Valley.

D’après lui, certains acteurs menaçants n'ont même pas besoin de certificats usurpés ou volés pour détourner le système. Au lieu de cela, ils attendent patiemment que les entreprises poursuivent le déploiement de nouvelles applications composées de logiciels microservices. Une pratique courante consiste à exécuter ces applications via l'équilibrage de charge des serveurs, période pendant laquelle les protections ICP sont temporairement désactivées. C'est pendant ce moment que les malfaiteurs en profitent pour agir.

« Au fur et à mesure que les entreprises s’habituent à cette situation, il est plus facile pour les attaquants d’en profiter pour voler des clés privées et lancer une attaque de type intermédiaire », explique Kashyap. « Les attaques de l’homme du milieu se sont multipliées, car elles sont relativement faciles à réaliser. »

Les attaquants sont également à la recherche de certificats expirés, ce que les entreprises négligent régulièrement. Par exemple, c'est grâce à un certificat expiré que des pirates ont réussi à s’introduire dans le pare-feu de l’agence de surveillance de crédit Equifax, sans être détecté pendant des mois alors qu’ils avaient volé 143 millions de dossiers client. « Deux ans plus tard, Equifax paye toujours des millions en dommages et dépense d’autres milliards en outils de sécurité », explique Hickman.

Suivre Google

Alors, où une organisation peut-elle commencer à maîtriser les problèmes d'ICP ? Un bon point de départ est d'étudier ce que Google fait depuis plusieurs années sur le front de l'ICP. Le géant de la recherche a initié l'élaboration d'un consensus autour des meilleures pratiques de l'ICP et a fortement contribué à vague d'innovation pour renforcer l'ICP.

Par exemple, ces dernières années, Google a régulièrement augmenté les sanctions contre les sites Web n’utilisant pas le chiffrement HTTPS, en les signalant comme non fiables. Cloudflare, DigiCert et un certain nombre d'autres entreprises technologiques fournissent des services de support pour permettre aux éditeurs de sites Web d'adopter facilement et à moindre coût le chiffrement HTTPS. Par conséquent, le pourcentage de sites Web utilisant l’ICP est passé à 55 %, contre 42 % il y un an.

Le mois dernier, Google a présenté un service appelé Google External Key Management Service, une nouvelle façon pour les entreprises de contrôler plus directement les clés de chiffrement générées dans le cadre des services cloud dont elles dépendent de plus en plus. Fortanix fournit la technologie de chiffrement avancée qui étaye ce nouveau service de Google.

Des entreprises comme Keyfactor, Venafi, Cyberreason, CyberArk et Duo, une filiale de Cisco, entre autres, développent de nouvelles technologies pour équiper les entreprises et gérer plus efficacement l'ICP et les systèmes qui y sont liés.

« Ces dernières années, le nombre de certificats numériques et des clés privées correspondantes que les entreprises doivent gérer a explosé », explique Kashyap. « On se tourne de plus en plus vers les microservices et on ressent plus la nécessité de tout chiffrer, aussi bien les données au repos qu’en mouvement. Chaque service, utilisateur ou appareil communiquant sur un réseau d'entreprise a besoin d'un certificat numérique. La gestion sécurisée de ces clés et certificats à grande échelle a pris une importance cruciale dans l'environnement actuel. »

Renforcer l’ICP

La lutte contre les menaces qui pèsent sur l'ICP n'est qu'un des nombreux défis de sécurité auxquels sont confrontées les entreprises. Mais elle pourrait bien être une priorité absolue. L'ICP est si profondément imbriquée dans les réseaux hybrides émergents que de nombreuses organisations vont devoir repartir de zéro.

D’autre part, l'ICP affecte directement chacun d’entre nous. Les particuliers doivent se méfier des risques liés à l'ICP et prendre des mesures pour les éviter. Les certificats compromis présentent un risque insidieux de fraude et de vol de données.

Pour réaliser des activités malveillantes, le recours à l'ingénierie sociale sera de plus en plus sophistiqué, ce qui signifie que nous devons de plus en plus contrôler notre empreinte numérique et résister à l'envie de cliquer frénétiquement sur quelque chose.

Un partage des responsabilités

Dans un monde parfait, le développeur de logiciel, le fabricant d'appareil et le fournisseur de services numériques se partageraient la responsabilité de sécuriser les utilisateurs finaux. Dans les faits, de nombreuses entreprises se concentrent d'abord sur la mise à l'échelle rentable des opérations, et contournent ensuite les obstacles juridiques et réglementaires. La confiance des utilisateurs reste secondaire. C'est la raison pour laquelle même des entreprises bien défendues comme Capital One, Marriott ou Equifax continuent de subir de terribles violations de données.

Cela signifie que pour l’instant, une bonne partie de la sécurité reste entre les mains des utilisateurs. « Les internautes peuvent reconnaître eux-mêmes et éviter les sites Web qui n’ont pas de certificat approprié ou qui ont expiré », explique Kashyap. « Ils doivent vérifier très minutieusement l'authenticité d'un site avant de saisir leurs informations personnelles, leurs mots de passe ou leurs informations de paiement. » L’indicateur le plus simple à repérer est le « HTTPS » au début de l’adresse d’un site Web.

L'ICP, bien qu'imparfaite, est destinée à rester un élément clé de l'infrastructure de confidentialité et de sécurité qui rend le commerce numérique viable. Pour les entreprises, le renforcement de l'ICP doit absolument progresser pour faire face aux risques de confidentialité et de sécurité à venir. Je vais suivre cela de près.